[디지털투데이 홍진주 기자] 미국 사이버보안및인프라보안국(CISA)이 연방기관에 가장 심각한 취약점은 최단 3일 안에 조치하도록 하는 새 지침을 내놨다. 

11일(현지시간) 온라인 매체 기가진에 따르면, 미국 정부는 인공지능(AI)을 활용한 사이버공격 확산에 대응해 취약점 관리 기준을 기존의 일괄 대응 방식에서 위험도 우선 방식으로 전환했다.

이번 지침의 핵심은 모든 취약점을 같은 속도로 처리하지 않고, 실제 악용 가능성과 피해 범위가 큰 항목부터 먼저 막도록 한 데 있다. 최고위험군으로 분류된 취약점은 3일 안에 패치하거나 비활성화해야 하며, 필요하면 인터넷에서 분리하는 조치도 해야 한다.

CISA는 새 기준에서 4가지 요소를 본다. 자산이 외부에 노출돼 있는지, 해당 취약점이 기존의 '악용된 적 있는 알려진 취약점 카탈로그'에 포함돼 있는지, 공격자가 악용 절차를 자동화할 수 있는지, 공격 시 자산의 일부 또는 전부를 장악할 수 있는지가 판단 기준이다. 각 항목 충족 여부에 따라 대응 기한이 달라진다.

배경에는 AI를 활용한 공격 속도 변화가 있다. 공격자는 패치가 적용되지 않은 취약점을 더 빠르게 찾아 악용할 수 있게 됐지만, 방어 측은 쏟아지는 취약점을 모두 즉시 처리할 자원이 부족한 상황이다. 이에 따라 미국 정부는 기존에 공통 취약점 평가 시스템(CVSS)과 알려진 취약점 목록 중심으로 운영하던 방식을 발전시켜, 실제 위험이 큰 대상을 먼저 처리하는 구조로 옮겨가고 있다.

CISA는 다만 3일 안에 처리해야 하는 취약점은 전체의 1%에 불과하다고 봤다. 나머지 다수는 대응을 미뤄도 문제가 없을 수 있어, 우선순위 설정이 실질적인 효과를 낼 수 있다는 판단이다. 이런 방향은 현재 기관들의 패치 현실과도 맞닿아 있다. 버라이즌의 2026년 데이터 침해 조사 보고서에 따르면, CISA 카탈로그에 오른 취약점 가운데 2025년에 완전히 수정된 비율은 26%에 그쳤고, 완전 해결까지 걸린 기간의 중앙값은 43일이었다.

각 연방기관은 이번 지침에 맞춰 취약점 관리 정책을 다시 손봐야 한다. 단순히 패치 일정을 앞당기는 데 그치지 않고, 위험도 평가와 조치 우선순위를 내부 절차에 반영하는 프로세스를 새로 세워야 한다.

크리스 부테라 CISA 사이버보안 담당 집행부국장 대행은 가장 시급한 취약점에 대한 패치 적용을 더 빠르게 하기 위한 시간을 확보할 수 있어야 한다고 밝혔다. 또 위험이 낮은 취약점은 더 정기적인 패치 주기로 대응할 수 있다고 강조했다.

이번 지침은 연방기관용 조치이지만, 취약점 관리 방식 자체를 바꾸는 신호로도 읽힌다. 특히 공격 자동화가 쉬워지고, 공개된 자산을 겨냥한 침해 시도가 빨라지는 환경에서는 취약점 개수보다 실제 악용 위험을 기준으로 대응 속도를 나누는 체계가 중요해지고 있다. 이에 따라 미국 정부의 보안 운영은 심각도 점수 중심에서 실제 공격 가능성과 피해 규모를 함께 보는 방향으로 재편될 전망이다.
 

• 토스뱅크 "상반기 신종 금융사기 증가...신고 중 56% 차지"
• 신한투자증권, 국민성장펀드 모집 완료...서민형 배정 35%로 확대
• 코스피, 7%대 폭등에 8300선 회복...천스닥도 복귀
• 카카오페이, 부산 지하철 QR 승차권 결제 지원
• 토스플레이스, 예비 창업자 결제·매장 운영 교육